...
De risicoanalyse wordtis, op grond van het Informatieclassificatiebeleid, niet publiekelijk beschikbaar gesteld.
Uitgangspunten bij de risicoanalyse
- De scope van de risicoanalyse wordt voor het belangrijkste gedeelte bepaald door de Grondslagen, met name in de Criteria en de Principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel
;. - De risicoanalyse wordt uitgevoerd op basis van de
ten tijde,op het moment van uitvoering, laatst gepubliceerde release van het MedMij Afsprakenstelsel. Nieuwe of aangepaste maatregelen worden meegenomen in een nieuwe release van het afsprakenstelsel;. - In de analyse
iszijn een vertegenwoordiging van alle rollen in het afsprakenstelsel en de governance betrokken;. - Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen
;. - Het bestuur van Stichting MedMij streeft naar een voor de betrokken partijen aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financieel, imago en vertrouwen. Stichting MedMij bepaalt met betrokkenen wat dit aanvaardbare risiconiveau is. De risicoanalyse, de risicotolerantie en beveiligingsmaatregelen
worden vastgesteld doorstelt Stichting MedMij vast.
Maatregelen
De risicoanalyse leidt tot het formuleren van drie typen maatregelen:
...
De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers, Beleid en Operationele processen worden vormgegeven, dan wel als normen in het Normenkader informatiebeveiliging worden opgenomen.
Verwerking in de afsprakenset
UitNa de overkoepelende risicoanalyse op het afsprakenstelsel die iswerd uitgevoerd op release 1.0, is geconcludeerdwas de conclusie dat een NEN 7510-certificering voor deelnemers en beheerorganisatie in samenhang met de overige onderdelen van het toetredingsproces, zoals kwalificatie en acceptatie, de belangrijkste informatiebeveiligingsrisico's voor het stelsel afdekt. Op een aantal onderwerpen zijn maatregelen uit de NEN 7510-norm meer specifiek ingevuld voor MedMij of zijnwerden er aanvullende maatregelen voorgesteld. Het betreftgaat hier om onderwerpen waarbij is geconcludeerdde conclusie was dat een ingeschat risico het beste afgedekt kan worden afgedekt door voor alle partijen een uniforme maatregel te treffen,. Iin plaats van zelfstandig maatregelen te kiezen op basis van een eigen risico-inschatting. Of het gaat om onderwerpen waarbij de individuele inschatting gevolgen kan hebben voor andere partijen inbinnen het netwerk. Deze maatregelen zijn opgenomenstaan in het Normenkader informatiebeveiliging. Daarnaast zijnDaarnaast staan in de architectuur, technische specificaties of het beleid en operationele processen maatregelen uit de risicoanalyse op stelselniveau opgenomen in de architectuur en technische specificaties of het beleid en operationele processen. De uitvoering van deze maatregelen wordt onder meer getoetst via onder andere het toetredingsproces.
NEN 7510-certificering is gangbaar en wettelijk verplicht bij de gegevensuitwisseling in het aanbiedersdomein. Om voor de uitwisseling met dienstverleners in het persoonsdomein zoveel mogelijk aan te sluiten bij de bestaande gebruiken en certificeringen, is gekozen de NEN 7510 ook verplicht te stellen voor de Ddienstverlener persoon. De NEN 7510 kent het vertrouwen van partijen in het aanbiedersdomein en draagt zo bij aan de acceptatie van het stelsel. Het bezitten vanAlleen een ISO 27001-certificering, de internationale standaard waarop dedie de basis vormt voor NEN 7510 is gebaseerd, is voor deelname aan het MedMij Afsprakenstelsel onvoldoende.
Herijking risicoanalyse
De risicoanalyse is een product dat jaarlijks dient temoet worden herijkt, maar ook wanneer eren bij bepaalde wijzingen plaatsvinden. DHerijking van de risicoanalyse dient te worden herijktis nodig op het moment dat:
...